マイクロソフトから、SSL/TLSで利用する暗号スイートの優先順位
を変更するとアナウンス。(2015/5/13)
「マイクロソフト セキュリティ アドバイザリ 3042058」
WindowsUpdateでの配信は2015年第4Q予定だが、
既に↓からKB3042058が事前配布されているので更新してみた。
https://support.microsoft.com/ja-jp/kb/3042058
パケットキャプチャしてみてSSLのClient Helloから、
暗号スイートの優先順序の差分を確認。。。
※↓ココへのアクセスでも暗号スイート優先順序を確認できる)
「SSL/TLS Capabilities of Your Browser」(QUALYS SSL LABS)
【結論】
(1) アドバイザリに「追加される」と書かれていた4つの
暗号スイートは適用前からあった。
(2) 署名がECDSAのものの優先度さげてRSAをあげた。
(3) KB3042058はアンインストールしても優先順序は元に戻らないw
という理解でよいのかな。
●Windows7 IE11(TLS1.2の使用にチェック有)の場合
テキスト版
https://gmail.com/ とのネゴシエーション結果はどちらの時も
「TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA(0xc013)」だった。※表の4行目のもの。
●Windows8.1の場合